油田网络系统的体系结构与管理

油田网络系统的体系结构与管理

面对全球市场化的挑战,企业要实现跨地区、跨行业、跨国经营的战略目标,把重心转移到技术创新、管理创新和制度创新上来。信息化是必然的选择。油田数字化建设为油田生产运营提供安全、稳定、高效、可靠的网络服务目标,将工作重心转移到保障?数字化管理?网络需要启动。围绕中国石油规划的计算机局域网改造工程的实施,主要从计算机骨干网、网络安全体系、网络数字化管理等方面提供强有力的通信信息服务保障。油田的数字化建设对计算机网络的安全提出了更高的要求。

一、网络系统架构

遵循中国石油局域网建设和运行规范,结合各油田实际情况,科学规划,从网络架构、设备配置、系统承载能力、网络带宽等方面全面建设网络。

网络架构设计。按照核心层、汇聚层、接入层三层架构的设计原则,在主要油气区域设置网络汇聚节点,提高网络覆盖,满足油气生产需求。

网络拓扑采用双星结构。自有电路与社会电路资源相结合,在链路层面提高了油气区域网的可靠性和安全性。对于主要油气区的集输节点,采用网状组网,在其他集输节点上增加千兆电路,提高网络冗余度。

设备配置。骨干节点设备采用冗余配置。Xi安网络核心、网络汇聚节点和重要三级节点的路由器和交换机采用两台设备冗余配置。工作在设备和备份设备的双机模式,在系统或硬件出现故障时应用自动切换,从硬件层面提高骨干网的安全性和可靠性。

网络带宽。油田数字化管理全面展开,计算机网络带宽需要根据业务需求进行规划。网络服务分为生产、办公、居住三类,并逐一预测带宽。骨干网承载的主要业务生产数据按其业务级别逐级分解,从井站、作业区、厂部到公司,明确了骨干网的带宽要求。初步确定网络核心与汇聚节点采用双2.5Gbps链路互联,三级节点至网络汇聚节点采用1-2 1000Mbps-ff链路,核心网采用双万兆互联链路方案。为了保证链路的可靠性,主节点采用双链路互连。

二、网络安全体系的规划与建设

如何规划和设计好网络安全体系是油田数字化管理基础网络建设的重中之重,也是支撑各种信息应用系统运行的关键。按照中国石油的统一规划,所有油田的计算机网络都与中国石油总部的内部网络互联,对外可以通过电信运营商在本地接入互联网。这样,网络安全就可以分为内部安全和外部安全来考虑。在建设畅通可靠的油田计算机骨干网的同时,油田要做好网络安全工作,从网络的边界层、核心层、接入层、安全体系等方面进行统筹规划,初步形成了严格边界防护、核心重监控、桌面勤补漏、全网统建的网络安全管理理念。网络安全得到加强,异常应用流量减少90%。在边界层,采用防火墙和IPS技术,实现来自外部网络的一级防护;在网络核心层,首次将流量清洗技术应用于企业网络,不仅实现了外网的二级安全防护,还实现了企业内部各种重要业务和用户之间的流量监控和主动数据清洗。在接入层,利用漏洞扫描系统不定期对敏感业务系统进行扫描和加固,及时发现和消除安全隐患;骨干网方面,以建立网络安全体系为核心,加强网络安全管理,初步建立骨干网安全评估体系。

1,互联网网络安全。在接入互联网部分,按照安全区、信息交换区、互联网接入区三个安全区规划了两道防火墙。考虑到出口网络的10兆升级和防火墙的处理能力,同时为了降低出口网络的复杂度,选择具有IPS功能的防火墙,通过防火墙设备完成出口网络。

的安全防护和入侵防护功能。防火墙的选择既考虑了国内产品自主知识产权的优势,又兼顾了国外产品性能高、稳定性好的特点。

2.内部网安全。通过对目前业内各种安全技术的跟踪研究,从三个方面加强内网安全建设:用D层清理、扫描加固桌面漏洞、构建全网安全体系。监控和清理核心网络流量。一方面通过建立流量模型来保障主业。在网络的核心。通过采用相对串联和镜像等先进的分光技术,部署旁路流量分析和监控设备。通过分析网络核心和互联网出口的流量情况,提炼出重要业务的特征,建立全网主要流量模型,为网络规划建设提供依据。对于消耗大量网络带宽的业务,如P2P,设置阈值和流量管理规则,最大限度减少P2P业务对用户网络访问的影响。另一方面,通过异常流量的清理,保证核心业务和网络的安全。针对目前网络中频繁出现的病毒攻击,选择bypass部署网络异常流量清理设备,利用策略路由和BGP引流实现流量监控和异常流量清理,使网络安全管理由被动变为主动,由事后分析变为事前预防,由未知变为可见。据统计。2010年3月,成功排除1600多起安全事件,大大提高了网络的稳定性和可靠性。各种安全策略和规则库的及时更新和升级也使系统能够应对各种新的攻击。

3.安全评估构建和桌面漏洞扫描。在网络核心部署漏洞扫描系统,不定期扫描相关业务网络,发现漏洞,及时进行安全加固,减少安全事件的发生,提高网络稳定性。在此基础上。与具有国家安全资质的第三方公司合作建设安全体系,逐步建立较为完善的网络安全管理体系。

第三,网络管理

计算机网络大规模建设和发展后,网络运维工作量成倍增加,但网络运维人员数量却没有增加。如何高效地运行和维护已经成为一个亟待解决的问题。通过不断的研究和测试,我们认为在专业网管软件、第三方网管软件和网络厂商的国产网络软件中,第三方网络软件更具实用性。纵观CA、HP等厂商的系统,Solarwinds已经成为一套更适合本单位实际情况,能够快速高效部署运营的系统。主要实现了以下几个方面的开发和应用:对网络设备包括路由器、交换机、防火墙、服务器等的实时监控。涉及思科、中兴、H3C、华赛、Junipier、飞塔等厂商的产品,监控参数包括CPU、内存、带宽、会话数等。实现各种故障的实时报警和管理,并通过短信及时提醒运维人员;实时展示整个网络的拓扑结构,用图形界面友好地展示网络的流畅度;实现全网设备配置的自动备份,对比配置,方便技术人员分析设备运行情况;网络和设备可用性等指标的定量统计分析;灵活定制各类报表,方便决策分析和统计。通过自定义方式建立的资源管理大大方便了网络基础数据和资料的管理。

四。结论

在一年多的实际运维中,骨干网没有中断,出口顺畅,网络可用率达到100%。网络整体服务能力各项指标显著提升:网页平均打开时间由15ms缩减至7ms主干带宽利用率保持